LinuxでのZFSによる暗号化
Linux上のZFSはすでに暗号化をサポートしていますか?そうでない場合、それは計画されていますか?
「ZFS + LUKS」に関する大量の情報を見つけましたが、それはまったく興味深いものではありません。「信頼されていない」バックアップサーバーへのzfs sendを使用してレプリケーションを実行できるように、ZFS暗号化が必要です。つまり、zfs送信フラグメントは暗号化する必要があります。
ZoLが暗号化をサポートしていない場合、zVolを作成してその上でLUKS + EXTを使用する(ZFSの多くの利点を失う)以外のよりエレガントな方法はありますか?
未だに。
作業中です
ZFS暗号サポート・問題#494・zfsonlinux/zfs・GitHub (2011-12-14)
tcaputiによるZFS暗号化・プルリクエスト#4329・zfsonlinux/zfs (2016-02-11)–会話の593部分、「…githubが効果的に処理するには大きすぎる…新しいPRに移動…」
tcaputiによるZFS暗号化・プルリクエスト#5769・zfsonlinux/zfs (2017-02-09)
参考文献
ZFSデータ暗号化の管理方法 (Darren Moffat、Oracle、2012-07-23)
Tom CaputiによるZFSネイティブ暗号化-YouTube (2016-10-10)
OpenZFSにネイティブ暗号化が導入されます!zfs create -o encryption = on。ありがとうトムキャプティ@datto (Matthew Ahrens、2017-03-17)
進行中の作業の代替案
他の人が指摘したように、 [〜#〜] luks [〜#〜] – Linux統合キーのセットアップ– on LinuxのZFS (ZoL)のオプションがあります。
通常、暗号化を必要とするZoLを使用しているユーザーにとって、パフォーマンスと機能性の両方が失われるため、encryptfsは望ましくありません。
ZFSは、itがファイルシステムである場合に最適に機能します。その上に他のユーザーを重ねる場合ではありません(ここでも、できます) 、しかしそれは最適ではありません)。これは、encryptfsが行うこと(ZFSの上に暗号化されたファイルシステムをレイヤー化)であり、LUKSについて多くのことがわかる理由です(LUKSはその逆です-カーネルによって管理される暗号化されたコンテナーの上にZFSを構成できます-実行中のパフォーマンスが非常に高く、ZFS機能が失われることはありません。
残念なことに、他の人が指摘したように、ZoLは実際にはnotを現在のOracle実装などのネイティブファイルシステム暗号化に組み込んでいます。暗号化をZFSマジックの上(encryptfs)または下(LUKS)に階層化する必要があります。
いいえ、Linux上のZFSはネイティブ暗号化をサポートしていません。別の オプションはencryptfs ですが、この時点では、ネイティブソリューションを見つけることはできません。
Arch Linuxでzfs-dkms-gitを使用すると、現在native暗号化された0.8.0_rc1カーネルモジュールが提供されます。進捗状況については、 Github 0.8.0マイルストーン を参照してください。
暗号化されたデバイスを作成するとき、 デフォルトオプション は
aes-256-ccmを使用します。deduplicationが必要ない場合は、-o encryption=aes-256-gcmを使用して パフォーマンスが向上します 。native暗号化サポートを確認するには、次のコマンドを使用します。grep ZFS_PROP_ENCRYPTION /usr/src/zfs-*/include/sys/fs/zfs.h
コミットがマージされ、バージョン0.7.1がLinuxでの完全なネイティブ暗号化をサポートするようになりました。